# Autopilot hinzufügen :computer-mouse: Klicke auf :plus: **Autopilot hinzufügen** in der rechten oberen Ecke, um ein neues automatisches Regelwerk zu erstellen. Es öffnet sich die Ansicht **Shield** → **Autopilot** → **Hinzufügen**.
:computer-mouse: Klicke auf **Autopilot hinzufügen**, nachdem du alle Einstellungen vorgenommen hast, um das neue automatische Regelwerk zu speichern und erstellen. :computer-mouse: Klicke auf **Zurück**, um zurück zur Listenübersicht zu gelangen. {% hint style="danger" %} **Bitte beachte**: Verlässt du diese Ansicht, ohne auf **Autopilot hinzufügen** zu klicken, sind alle vorgenommenen Einstellungen unwiederbringlich verloren! {% endhint %} *** ## Grundeinstellungen
Folgende Optionen stehen zur Verfügung:
OptionBeschreibung
NameGib dem Autopiloten einen aussagekräftigen Namen.
Beschreibung

Beschreibe den Autopilot genauer.

Dieses Feld ist optional.

Aktion

Lege eine Aktion fest, die für alle IP-Adressen von Angreifern auf die zugeordneten Hosts gelten soll.

Die standardmäßig ausgewählte Aktion ist Verwerfen (Drop).

:computer-mouse: Klicke in das Feld Aktion, um eine Liste aller verfügbaren Aktionen auszuklappen.

Folgende Aktionen stehen zur Verfügung:

  • Erlauben: Die IP-Adresse des Angreifers wird als vertrauenswürdig eingestuft und damit zugelassen. Für sie wird im Hintergrund ein Whitelist-Eintrag erstellt.
  • Verwerfen (Drop): Die Verbindung mit der IP-Adresse des Angreifers wird nicht zugelassen. Es wird dabei keine entsprechende Antwort an das angreifende System gesendet.
  • Blockieren (Reject): Die Verbindung mit der IP-Adresse des Angreifers wird aktiv unterbunden. Dabei wird eine entsprechende, negative Antwort an das angreifende System gesendet.

Bitte beachte: Regelwerke, die Netzwerkverbindungen erlauben, überschreiben stets alle Regelwerke, die die entsprechenden Verbindungen verwerfen oder blockieren!

Wir empfehlen für die Abwehr von Netzwerkattacken immer die Aktion Verwerfen (Drop) zu verwenden. Auf diese Weise werden dem Angreifer keine Informationen zum Einsatz einer Sicherheitssoftware geliefert.

Aktiviert

Erlaube dem Autopiloten, die darin vorgenommenen Einstellungen auf allen zugeordneten Hosts aktiv durchzusetzen.

Diese Option ist standardmäßig aktiviert.

:computer-mouse: Setze einen Haken in die Checkbox :square: neben Aktiviert , um den Autopiloten zu aktivieren, oder entferne den Haken aus der Checkbox :square-check:, um den Autopiloten zu deaktivieren.

Empfehlung überschreiben

Erlaube dem Autopiloten, die darin vorgenommenen Einstellungen auf allen zugeordneten Hosts immer durchzusetzen. Dadurch werden manuelle Regelwerke oder einzelne Host-Einstellungen überschrieben.

Diese Option ist nicht standardmäßig aktiviert.

:computer-mouse: Setze einen Haken in die Checkbox :square: neben Empfehlung überschreiben, um die Option zu aktivieren, oder entferne den Haken aus der Checkbox :square-check:, um die Option zu deaktivieren.

*** ## Zugeordnete Referenzen Lege fest, für welche Hosts oder Gruppen von Hosts die Einstellungen des Autopiloten gelten sollen.
Folgende Optionen stehen zur Verfügung:
OptionBeschreibung
Host-Zuordnung

Lege fest, ob du Hosts über ihren Namen oder über Tags dem Regelwerk zuordnen möchtest.

Die standardmäßig ausgewählte Host-Zuordnung ist Tags.

Klicke in das Feld Host-Zuordnung, um eine Liste aller verfügbaren Optionen auszuklappen.

Folgende Optionen stehen zur Verfügung:

  • Tags: Wähle Hosts über ihre zugeordneten Tags aus.
  • Referenz: Wähle Hosts über ihren Namen aus.
Tag-Verknüpfung

:eye: Diese Option ist nur sichtbar, wenn im Feld Host-Zuordnung die Option Tags ausgewählt wurde.

Lege fest, wie viele Tags ein zugeordneter Host enthalten muss, damit die Einstellung für ihn gilt.

Die standardmäßig ausgewählte Tag-Verknüpfung ist Alle Tags sind bei der Referenz vorhanden.

:computer-mouse: Klicke in das Feld Tag-Verknüpfung, um eine Liste aller verfügbaren Optionen auszuklappen.

Folgende Optionen stehen zur Verfügung:

  • Alle Tags sind bei der Referenz vorhanden: Ein zugeordneter Host muss alle angegebenen Tags enthalten, damit die Einstellung für ihn gilt.
  • Mindestens einer der angegebenen Tags ist vorhanden: Ein zugeordneter Host muss mindestens einen der angegebenen Tags enthalten, damit die Einstellung für ihn gilt.
Tags

:eye: Diese Option ist nur sichtbar, wenn im Feld Host-Zuordnung die Option Tags ausgewählt wurde.

Wähle einen oder mehrere Tags aus der Liste aus. Oder nutze die Freitexteingabe, um Tags in der Liste schneller zu finden.

:computer-mouse: Klicke dazu in das Feld Tags, um eine Liste aller verfügbaren Tags auszuklappen.

:computer-mouse: Klicke auf das Entfernen-Symbol :circle-xmark: neben einem hinzugefügten Tag, um ihn aus dem Feld Tags zu entfernen.

Hosts

:eye: Diese Option ist nur sichtbar, wenn im Feld Host-Zuordnung die Option Referenz ausgewählt wurde.

Wähle einen oder mehrere Hosts aus der Liste aus. Oder nutze die Freitexteingabe, um Hosts in der Liste schneller zu finden.

Der standardmäßig ausgewählte Host ist der des in der Netzwerkanomalien-Übersicht ausgewählten Listenelements.

:computer-mouse: Klicke in das Feld Hosts, um eine Liste aller verfügbaren Hosts auszuklappen.

:computer-mouse: Klicke auf das Entfernen-Symbol :circle-xmark: neben einem hinzugefügten Host, um ihn aus dem Feld Hosts zu entfernen.

*** ## Ausgeschlossene Referenzen Lege fest, welche Hosts oder Gruppen von Hosts die Einstellungen des Autopiloten ausdrücklich ignorieren sollen.
Folgende Optionen stehen zur Verfügung:
OptionBeschreibung
Hosts

Lege Hosts fest, die vom Autopiloten ausgeschlossen werden sollen.

Der standardmäßig ausgewählte Host ist der des in der Netzwerkanomalien-Übersicht ausgewählten Listenelements.

:computer-mouse: Klicke in das Feld Hosts, um eine Liste aller verfügbaren Hosts auszuklappen, und wähle einen oder mehrere Hosts aus. Oder nutze die Freitexteingabe, um Hosts in der Liste schneller zu finden.

:computer-mouse: Klicke auf das Entfernen-Symbol :circle-xmark: neben einem hinzugefügten Host, um ihn aus dem Feld Hosts zu entfernen.

Tag-Verknüpfung

Lege fest, wie viele Tags ein zugeordneter Host enthalten muss, damit die Einstellung für ihn gilt.

Die standardmäßig ausgewählte Tag-Verknüpfung ist Alle Tags sind bei der Referenz vorhanden.

:computer-mouse: Klicke in das Feld Tag-Verknüpfung, um eine Liste aller verfügbaren Optionen auszuklappen.

Folgende Optionen stehen zur Verfügung:

  • Alle Tags sind bei der Referenz vorhanden: Ein zugeordneter Host muss alle angegebenen Tags enthalten, damit die Einstellung für ihn gilt.
  • Mindestens einer der angegebenen Tags ist vorhanden: Ein zugeordneter Host muss mindestens einen der angegebenen Tags enthalten, damit die Einstellung für ihn gilt.
Tags

Lege Tags für Gruppen von Hosts fest, die vom Autopiloten ausgeschlossen werden sollen.

:computer-mouse: Klicke dazu in das Feld Tags, um eine Liste aller verfügbaren Tags auszuklappen, und wähle einen oder mehrere Tags aus. Oder nutze die Freitexteingabe, um Tags in der Liste schneller zu finden.

:computer-mouse: Klicke auf das Entfernen-Symbol :circle-xmark: neben einem hinzugefügten Tag, um ihn aus dem Feld Tags zu entfernen.

*** ## Blockierungsgrad des Intrusion Prevention Systems Lege den Blockierungsgrad des IPS fest, um die Anzahl der blockierten Netzwerkattacken zu vergrößern oder um zugunsten der Systemauslastung nur die wichtigsten Netzwerkattacken zu blockieren. {% hint style="info" %} Der standardmäßig ausgewählte Blockierungsgrad ist **Level 1: Verfügbarkeit vor Sicherheit**. {% endhint %}
\ Folgende Blockierungsgrade stehen zur Verfügung:
OptionBeschreibung
Level 0: Sehr hohe EingriffsschwelleHier werden nur die kritischsten Bedrohungen blockiert, der Fokus liegt allerdings deutlich auf einer guten Verfügbarkeit.
Level 1: Verfügbarkeit vor SicherheitHier werden nur die kritischsten Bedrohungen blockiert, der Fokus liegt jedoch weiterhin auf einer guten Verfügbarkeit.
Level 2: Ausgewogene Verfügbarkeit und Sicherheit

Hier werden auch weniger kritische Bedrohungen blockiert, wobei auf eine gute Balance zwischen Blockierung und Verfügbarkeit geachtet wird.

Wir empfehlen Level 2 für normal ausgelastete Hosts.

Level 3: Sicherheit vor Verfügbarkeit

Hier werden auch seltene und sehr spezifische Bedrohungen blockiert, wobei es zu Einschränkungen in der Verfügbarkeit kommen kann.

Wir empfehlen Level 3 für besonders schützenswerte Hosts oder Netzwerksegmente.

Level 4: Maximaler Schutz

Hier werden alle Arten von Bedrohungen jeder Kritikalität blockiert, wobei die Verfügbarkeit deutlich eingeschränkt wird.

Wir empfehlen Level 4 nur in Einzelfällen oder temporär zu verwenden.

*** ## Dauer der Blockierung in Sekunden Lege fest, wie lange und in welchem Rahmen die IP-Adresse des Angreifers blockiert werden soll.
Folgende Optionen stehen zur Verfügung:
OptionBeschreibung
Timeout

Gib einen Timeout in Sekunden an, nach dem die Blockierung der Datenpakete, die durch den Angreifer gesendet werden, beendet wird.

Der standardmäßig angegebene Timeout-Wert ist 3600.

Scope

Lege fest, in welchem Umfang die Datenpakete, die ein Angreifer sendet, geblockt werden sollen.

Der standardmäßig ausgewählte Scope ist Service.

Bitte beachte: Der Autopilot blockiert bei der Erkennung eines Port-Scans nicht nur einzelne Dienste wie z.B. das Netzwerkprotokoll SSH, sondern die gesamte IP-Adresse des Hosts. Dies liegt daran, dass ein Port-Scan potenziell alle offenen Ports eines Hosts betrifft und nicht nur einen spezifischen Dienst. Da das IPS nicht direkt erkennen kann, welche Anwendung den Zugriff ausgelöst hat, wäre eine selektive Blockade einzelner Dienste nicht ausreichend, um einen Scan zuverlässig zu verhindern. Durch die IP-basierte Blockierung wird sichergestellt, dass wiederholte Scan-Versuche unterbunden und potenzielle Angriffe abgewehrt werden.

:computer-mouse: Klicke in das Feld Scope, um eine Liste aller verfügbaren Scopes auszuklappen.

Folgende Scopes stehen zur Verfügung:

  • Port: Blockiere ausschließlich Datenpakte, die an einen bestimmten Port gesendet werden.
  • Service: Blockiere ausschließlich Datenpakte, die einen spezifischen Dienst betreffen.
  • Host: Blockiere alle Datenpakete, die an die IP-Adresse des Hosts gesendet werden.
Schweregrad

Lege fest, ab welchem Schweregrad der erkannten Netzwerkattacke die Datenpakete, die durch den Angreifer gesendet werden, blockiert werden soll.

Der standardmäßig ausgewählte Schweregrad ist High.

:computer-mouse: Klicke in das Feld Schweregrad, um eine Liste aller verfügbaren Schweregrade auszuklappen.

Folgende Schweregrade stehen zur Verfügung:

  • Low: Die Netzwerkattacke hat eine geringe Kritikalität.
  • Medium: Die Netzwerkattacke hat eine mittlere Kritikalität.
  • High: Die Netzwerkattacke hat eine hohe Kritikalität.
  • Critical: Die Netzwerkattacke hat eine sehr hohe Kritikalität.
--- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.enginsight.com/docs/manual/bedienung-der-plattform/shield/dynamisches-blocken/autopilot/autopilot-hinzufugen.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.